AI Anthropic wykrywa tysiące luk
Źródło: Anthropic: Mythos Detected 23,000 Potential Vulnerabilities Across 1,000 OSS Projects – SecurityWeek
Firma Anthropic poinformowała, że jej model AI Claude Mythos wykrył ponad 23 000 potencjalnych podatności w ponad 1 000 projektów open source, co pokazuje bezprecedensową skalę możliwości sztucznej inteligencji w analizie bezpieczeństwa. Jak podaje SecurityWeek, spośród tych wykryć około 1 900 zostało już przeanalizowanych przez zewnętrznych ekspertów, a aż 1 726 potwierdzono jako realne podatności, w tym ponad 1 000 o wysokim lub krytycznym poziomie zagrożenia.
Badania wciąż trwają, a Anthropic przewiduje, że liczba najpoważniejszych luk może wzrosnąć nawet do kilku tysięcy. Już teraz zgłoszono ponad 1 100 niezweryfikowanych problemów do dostawców oprogramowania, jednak jedynie kilkadziesiąt z nich zostało załatanych, co ujawnia poważny problem przeciążenia ekosystemu bezpieczeństwa.
Model Mythos, rozwijany w ramach projektu Glasswing, jest udostępniony jedynie ograniczonej liczbie organizacji, m.in. firmom technologicznym i instytucjom rządowym. Przykładowo Mozilla wykorzystała go do wykrycia setek błędów w przeglądarce Firefox, a inne firmy również raportują znaczące wyniki.
Eksperci podkreślają, że AI może fundamentalnie zmienić podejście do cyberbezpieczeństwa – z ograniczenia „jak znaleźć podatność” na „jak szybko ją naprawić”. Skala i tempo wykryć pokazują jednak, że branża nie nadąża z procesem łatania, co może zwiększać ryzyko wykorzystania luk przez cyberprzestępców.
Masowy atak Megalodon uderza w GitHub
Źródło: Megalodon GitHub Attack Targets 5,561 Repos with Malicious CI/CD Workflows
Badacze bezpieczeństwa ujawnili szczegóły kampanii „Megalodon”, która w ciągu kilku godzin objęła ponad 5 500 repozytoriów na GitHubie, wprowadzając tysiące złośliwych zmian. Atak polegał na dodawaniu spreparowanych workflowów GitHub Actions, zawierających ukryte skrypty do kradzieży danych. W efekcie w ciągu sześciu godzin wykonano ponad 5 700 złośliwych commitów, co czyni tę operację jedną z największych kampanii typu supply chain skierowanych w środowiska deweloperskie.
Napastnicy maskowali swoją aktywność, używając fałszywych tożsamości przypominających automatyczne boty CI/CD oraz kont jednorazowych. Dzięki temu zmiany wyglądały jak rutynowe aktualizacje pipeline’ów. W rzeczywistości zawierały zakodowane payloady, zdolne do przechwytywania poufnych informacji, takich jak klucze SSH, tokeny API czy dane dostępowe do środowisk chmurowych.
Atak wykorzystywał dwa warianty działania: jeden uruchamiany automatycznie przy zmianach w repozytorium, drugi pozostający ukryty, aktywowany ręcznie przez atakującego. W niektórych przypadkach zainfekowane repozytoria doprowadziły także do publikacji złośliwych pakietów w ekosystemie npm, rozszerzając skalę zagrożenia.
FBI ostrzega przed Kali365 – nowym phishingiem wymierzonym w Microsoft 365
Źródło: FBI warns of Kali365 phishing service targeting Microsoft 365 accounts
FBI wydało ostrzeżenie dotyczące nowej platformy phishingowej Kali365, która służy do przejmowania kont Microsoft 365 poprzez nadużywanie mechanizmu uwierzytelniania OAuth. Narzędzie działa w modelu phishing‑as‑a‑service i pojawiło się w kwietniu 2026 roku, szybko zdobywając popularność wśród cyberprzestępców dzięki dostępności w kanałach Telegram oraz gotowej infrastrukturze ataków.
Atak wykorzystuje tzw. device code phishing, który bazuje na legalnym procesie logowania Microsoft. Ofiara otrzymuje wiadomość phishingową z kodem i instrukcją zalogowania się na oficjalnej stronie Microsoft. Po wpisaniu kodu i przejściu uwierzytelnienia MFA to atakujący otrzymuje token dostępu, co pozwala mu przejąć konto bez znajomości hasła i bez potrzeby łamania mechanizmów wieloskładnikowego uwierzytelniania.
Platforma Kali365 udostępnia również funkcje takie jak generowanie treści phishingowych przy użyciu AI, gotowe szablony kampanii oraz narzędzia do śledzenia ofiar w czasie rzeczywistym. Dzięki temu nawet mniej doświadczeni cyberprzestępcy mogą prowadzić skuteczne kampanie na dużą skalę.
Po uzyskaniu dostępu napastnicy mogą czytać pocztę, manipulować regułami skrzynki oraz utrzymywać długotrwałą kontrolę nad kontem, co zwiększa ryzyko kradzieży danych i dalszych ataków w organizacji.
Błąd w Windows Server 2016 powoduje problemy z wykrywaniem kontrolerów domeny
Źródło: Microsoft: Domain Controller lookup may fail on Windows Server 2016
Microsoft potwierdził nowy problem w systemie Windows Server 2016, który może uniemożliwiać poprawne wykrywanie kontrolerów domeny po instalacji aktualizacji zabezpieczeń KB5087537 z maja 2026 roku. Błąd ten dotyczy specyficznej konfiguracji – systemów, których nazwa hosta składa się dokładnie z 15 znaków.
W takim przypadku mechanizm DCLocator, odpowiedzialny za odnajdywanie kontrolerów domeny w środowisku Active Directory, może zwracać błąd „ERROR_INVALID_PARAMETER”. W efekcie narzędzia administracyjne i aplikacje nie są w stanie zlokalizować dostępnych kontrolerów domeny, co może prowadzić do zakłóceń w działaniu usług zależnych od tego mechanizmu.
Problem może wpływać na różne scenariusze administracyjne, w tym zarządzanie przestrzenią nazw DFS oraz inne operacje wymagające komunikacji z kontrolerem domeny. W praktyce oznacza to potencjalne utrudnienia w zarządzaniu infrastrukturą IT w organizacjach korzystających z Windows Server 2016.
Microsoft prowadzi obecnie analizę problemu i nie podał jeszcze terminu wydania poprawki. Do czasu jej udostępnienia administratorzy powinni zachować ostrożność przy wdrażaniu aktualizacji w środowiskach produkcyjnych.
CISA nakazuje pilne łatanie podatności Drupal wykorzystywanej w atakach
Źródło: CISA orders feds to patch actively exploited Drupal vulnerability
Amerykańska agencja CISA nakazała federalnym instytucjom pilne zabezpieczenie systemów przed nową podatnością w systemie Drupal, która jest aktywnie wykorzystywana w atakach. Luka oznaczona jako CVE‑2026‑9082 dotyczy mechanizmu obsługi zapytań do bazy danych i umożliwia przeprowadzenie ataku typu SQL injection bez konieczności uwierzytelnienia.
Podatność szczególnie zagraża instalacjom korzystającym z bazy PostgreSQL i może prowadzić do poważnych konsekwencji, takich jak ujawnienie danych, eskalacja uprawnień, a w niektórych przypadkach nawet zdalne wykonanie kodu. Drupal jest szeroko stosowany w sektorze publicznym, edukacji i dużych organizacjach, co zwiększa skalę potencjalnego ryzyka.
CISA dodała lukę do katalogu Known Exploited Vulnerabilities (KEV) i nakazała jej usunięcie w określonym terminie, podkreślając, że podatności tego typu są często wykorzystywane przez cyberprzestępców jako punkt wejścia do systemów.
Eksperci obserwują już setki niezałatanych instancji Drupal dostępnych w sieci, co wskazuje na realne ryzyko dalszych ataków. Organizacje – nie tylko rządowe – są zdecydowanie zachęcane do natychmiastowej aktualizacji oraz wdrożenia środków ochronnych, aby ograniczyć możliwość kompromitacji systemów.
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny